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0 Dispositif de mise en oeuvre d'un systeme d'echange securise de donnees du genre RSA limlte a 
la signature num^rique et la verification des messages. 



0 Un dispositif selon Tinvention comporte des premiers moyens de mise en oeuvre d'un systeme d*e change 
securisi de donnees du genre RSA pour signer des messages et verifier des messages signes, et des seconds 
moyens pour Inhiber les foncttons de chiffrement et de dechiffrement propres a de tels systemes, de fagon h 

^ n'autoriser que les fonctions de signature et de d*authentificatlon de signature et de cl^s publiques. 

^ Application, en outre» awt r^seaux nationaux civiles bas6s sur la technologie carte a puce: EDI. systemes 
bancaires, systemes de sanl^, jporte monnaie electronique... 

CO 
lO 

to 



CL 




Europalsches Palentamt 
European Patent Office 
Office europeen des brevets 



Rank Xerox (UK) Business Services 

13. 10/3.09/3.3.41 



EP 0 675 614 A1 



L'invention conceme un drspositif permettant de mettre en oeuvre. conformement a un systeme 
d'echange securise de donnees du genre RSA des fonctions de signature de messages et d'authentification 
de signature pour des messages signes. 

Elle a d'importantes applications dans le domaine des communications cryptographiques, et tout 
5 particulierement 'pour les cartes a puces. 

Le systeme RSA d'echange securise de donnees a 6x6 d^crit dans le brevet americain n* 4405829 de 
Rivest, Shamir et Adieman en 1978. H repose sur la difficult^ de f actor iser un grand nombre "n" qui est le 
produit de deux nombres premiers "p** et "q". Dans ce systeme, le message a traiter est mis sous la forme 
d*une chatne de nombres separes en blocs de longueur fixe inferieure a "n". Chaque bloc M donne un 
70 cryptogramme G a Taide d*un exposant '*e'* qui est accessible au public: 

C = M» Mod(n) 

ou Mod(n) indique que roperation est effectuee modulo "n**. 
75 Pour dechiffrer le cryptogramme C, le destinataire doit connaHre I'exposant secret '*d'* qui verifie I'equation: 

e.d Mod((p-1)(q-1)) = 1 

afin d'effectuer I'op^ration suivante: 

20 

C** Mod(n) = M"* Mod(n) = M 

Ce systeme permet egalement de signer les messages et d'authentifier les signatures. Un message M est 
signe par Temetteur en utilisant sa cle secrete "d*: 

25 

S = M** Mod(n) 

Le destinataire du message signe S peut alors authentifier cette signature en utilisant la cl§ publique "e" de 
I'emetteur: 

30 

S* Mod(n) = M<*« Mod(n) = M 

L'^volution technologtque des cartes a puces a §t§ telle, qu*il est maintenant possible d*y implementer 
h faible coOt. tout en obtenant des performances satisfaisantes. des syst§mes cryptographiques h c\§ 
35 publique, du genre RSA par example. Ainsi, de nombreux pays cherchent a cr^er des r^seaux nationaux 
bases sur la technologie carte a puce pour des applications qui requierent un haut niveau de securite telles 
que i'EDI (Echange de Donnees Informatis^es). le porte monnate diectronique, les systemes bancaires ou 
les systemes de sante... 

Or. lorsque le systeme cryptographique utilise est un syst§me fort au sens ou nul ne peut dechiffrer un 
40 message chiffr^ h I'exception du propri^taire de la cl6 secrete, una partle de la capacity de ces reseaux 
pourrait §tre detourn^e h des fins criminelles. La legislation en vigueur interdit done en principe le 
chiffrement de donnees pour les applications civiles. 

Pour cela, il serait possible d'utiliser d*autres systemes cryptographiques limit^s aux fonctions de 
signature, tel que le systeme DSS (de Tanglais Digital Signature Standard) qui est en cours de normalisa- 
45 tion au Etats Unis. ou le systeme GQ decrit dans le brevet frangais n • 2 620 248 du 7 septembre 1987. 

Toutefois, les syst§mes cryptographiques du genre RSA pr^sentent I'avantage d*offrir un tres haut 
niveau de securite. d'§tre iargement mis en oeuvre dans de nomtneux produits, et de pouvoir etre utilises, 
lorsque cela serait n^cessaire et autoris§, comme un systeme de chiffrement de donnees. 

L'invention a done pour but de rendre compatibles la legislation en vigueur relative aux applications 
50 civlles de la carte a puce et Tutilisation d'un systeme cryptographique du genre RSA. 

Pour cela, un dispositil salon l'invention, tel que d^fini dans le paragraphe introductif, est caract6ris§ en 
ce qu*il comporte des moyens pour inhiber les fonctions de chiffrement et de d6chiffrement de messages 
propres h tout systerne du genre RSA. 

Dans un premier mode de realisation, un dispositif selon Tinvention comporte des moyens pour 
55 comparer chaque message a signer a une structure prddeterminee selon laquelle tout message doit etre 
construit, et pour ihterdire la signature d*un message ne repondant pas a la dite structure. 

II est ainsi possible d'eviter qu'un fraudeur presente pour le signer un message chiffre ayant un sens, et 
ne realise ainsi frauduleusement une operation de <|echiffrement. En effet, un message coherent chiffrd 
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n*etant ni previslble nl contr6lable» il ne peut ripondre a ladite structure. 

De plus, un dispositif selon I'invention comporte alors avantageusement des moyens permettant, apres 
rauthentification de la signature d'un message stgne. de comparer le message obtenu avec la dite 
structure, et d'emettre une indication de r§sultat positif s'il y a correspondence entre les deux, et n^gatif 
5 sinon. 

Ainsi. un message obtenu apr^s une telle verification de signature n'est jamais transmis vers Texterteur 
lorsque rindication de resultat est negative, ce qui permet d'eviter qu'un fraudeur ne presente.pour une 
operation de verification de signature un message "en clair" afin de le chiffrer frauduleusement. 

Dans un second mode de realisation, un dispositif selon Tinventlon comporte des moyens pour 
TO appliquer une fonction de condensation k tout message avant de le signer, puis pour 6mettre vers 
rext^rieur le message condense et signe ainsi que le message en clair, si n§cessaire. 

Ainsi. ii est impossible d*utiliser frauduleusement la fonction de signature comme fonction de dechiffre- 
ment, p'uisque la fonction de conderisation est pr^alablement appliqu^e au message. 

De plus un dispositif selon I'invention comporte alors avantageusement des moyens permettant, apres 
15 rauthentification de la signature d*un message condense et signe, de comparer le message condense 
obtenu au message emis en clair auquel la dite fonction de condensation a ete prealablement appliquee. et 
d'emettre une indication de resultat positif s'il y a correspondance entre les deux, et negatif sinon. 

Ainsi, un message obtenu apres une telle verification de sigriature n'est pas transmis vers I'exterieur 
lorsque rindication de resultat est negative. 
20 invention conceme egalement une carte 5 microcircuit utilisant un systeme d'echange securise de 
donnees du genre RSA et qui comporte un dispositif tel que decrit dans les paragraphes precedents. 

D'autres particularit^s, details et avantages de la pr^sente invention seront mis en evidence dans la 
description qui va suivre en regard des dessins annexes qui sent relatifs a des exemples donnas a titre non 
limitatif dans lesquets: 

25 - la figure 1 est une repre^ntation sch^matique d'un dispositif selon I'invention. 

- la figure 2 est une representation schematique de I'organisation de la memoire d'un dispositif selon 
I'invention, 

- la figure 3 est un organigramme d'un proc^d^ de fonctionnement d'un dispositif selon Tinvention dans 
un premier mode de realisation, 

30 - la figure 4 est un organigramme d'un pfOc666 de fonctionnement d'un dispositif selon I'invention dans 
un second mode de realisation, 

- la figure 5 est une representation schematique d'une carte a puce compprtant un dispositif selon 
I'invention. 

Un dispositif selon I'invention est realise h base d'un micro-controleur securise d'un point de vue 
35 physique tel, par exemple, que le 83C852 fabriqu^ par Philips. Un tel micro-controleur 1 est represent^ sur 
la figure 1 et compose a partir d'un microprocesseur 2, d'une memoire vive 3, d'une memoire morte 4 qui 
contient notamment des instructions de fonctionnement pour la mise en oeuvre de I'invention, et d'une 
memoire EEPROM 5 pour contenir differentes donnees telles que la cle secrete de la carte,, la cle publique 
d'un tiers avec lequel elle ^change des informations... 11 est Egalement compost d'une unite de calcul 6 
40 pour prendre en charge les operations necessaires a la realisation des fonctions de cryptographie, d'une 
unite 7 de gestion des entrees/sorties reliee en outre a une entree 1/0 du micro-controleur 1. Les elements 
precites du micro-controleur 1 sent relies entre eux par un bus 8. 

Le microprocesseur 2 est d'autre part relie aux entrees R, C, Vr et Vdd du micro-controleur 1, 1'entree 
R etant destinee a recevoir un signal de reinitialisation du microprocesseur 2, 1'entrie C un signal d'horloge 
45 exterieur, I'entree Vr un signal de tension de reference et Tentree Vdd un signal de tension d'alimentatlon. 
Tout detail complementaire peut §tre trouve dans la notice du micro-controleur 83C852 pr§cite. 
D'apres la figure 2, la memoire morte 4 contient en outre pour chaque fichier de donnees F1, F2,...Fn 
contenu dans la memoire EEPROM 5, un enregistrement comprenant le nom du fichier, le type des droits 
D1, D2...,Dn associes a ce fichier et un pointeur vers ce fichier dans la memoire EEPROM 5. Ainsi, pour 
50 effectuer une operation sur une information d'un fichier de donnees de la memoire EEPROM, il est 
necessaire de passer par le microprocesseur 2 qui va controler que ce type d'operation est autorise sur 
ces donnees. 

Par exemple, la memoire EEPROM comprend un fichier des cles publiques importees dans le dispositif 
et un fichier contenant la cle secrete du dispositif. Les droits associes a ces informations indiquent qu'elles 
55 ne sent pas lisibles de Texterieur. De plus, selon I'invention, (e fichier des cies importees dispose d'un droit 
qui limite I'acces h ses donnees aux operations d'authentification de signature. 

C'est cette organisation de la memoire qui assure la protection des informations contenues 6ans le 
dispositif. 
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Dans un premier mode de r§a!isation du dispositif salon I'invention, tout message en clair Mo doit 
repondre a une structure predefinie. Dans Texemple decrit par la suite, il a ete choisi d'attrlbuer une valeur 
particuliere aux 64 elements binaires de poids fort de chaque message Mo (la taille des messages traites 
par le systems RSA 6tant, dans cet exemple de realisation, prise egale a 512 Elements binaires). Ces 64 
5 elements binaires predefinis sont enregistres dans la memoire EEPROM 5. De fagon a faciliter le rep^rage 
d'une telle structure, il est interessant de lui donner une fomne reguliere telle par exemple que "00....0* ou 
"11...r ou "0101...0r. 

Toutefois on peut egalement choisir d*imposer une redondance connue a chaque message Mo, par 
exemple en rep^tant plusieurs fois le message ou certaines de ses parties. 
10 La figure 3 donne un organigramme d'un precede de fonctionnement du dispositif selon I'invention dans 
ce premier mode de realisation, les instmctions correspondantes 6tant contenues dans la memoire morte 4 
du micro-controleur 1. 

La signification des differents blocs de cet organigramme est donn^e ci-dessous. 

- case K1 : le microprocesseur 2 attend qu*une demande arrive sur le port I/O du micro-controleur 1 . Le 
75 contenu de ces demandes est defini dans les documents ISO/IEC 7816-3 et 7816-4, 1993. Elles 

comportent en outre un champ indiquant le type de Tinstruction a effectuer (un chargement de cle 
publique dans le fichier des cles importees de la memoire EEPROM 5. une signature, une authentifh 
cation ou une verification de signature par exemple). et un champ comportant les donn^es a traiter. 
Des la reception d'une demande, le procede passe a la case K2. 
20 - case K2: test permettant de determiner s'il s'agit d'une Instruction de chargement de c)6 
publique. Si c'est le cas, le procede se poursuit a la case K3. Sinon, il passe a la case K4. 

- case K3: la cle publique passee dans le champs donnee de Tinstruclion est enregislree dans le fichier 
des cies importees de la memoire EEPROM 5. Puis le procede reprend a la case K1. 

- case K4: test permettant de determiner s'il s'agit d'une instruction de signature. Dans ce cas le 
25 precede continue a la case K5; sinon, il passe a la case K7. 

- case K5: test de la structure du message Mo passe en parametre de rinstruction. Si ses 64 elements 
binaires de poids fort correspondent au motif predefini enregistr^ dans la memoire EEPROM 5, il 
s'agit bien d'un message en clair et il est possible de le signer sans crainte de fraude {instruction de 
signature ne sera pas detournee pour realiser un dechiffrement frauduleux): le procede continue alors 

30 a la case K6. Sinon. {'operation est refuses, un message d'erreur est transmis vers le terminal (il 

s'agit en fait d'un message de reponss tel que defini dans les documents precites. dont le champ 
"statul " code sur 2 octets definit le type de Tenreur). puis le procede reprsnd a la case K1. 

- case K6: calcul de la signature Ms = (Mo)** Mod(h), et emission vers Texterieur de ce message signe 
Ms. Puis le precede reprend h la case K1. 

35 - case K7: test permettant de determiner s'il s'agit d'une instruction d'authentification de signature. 
Si c'est le cas, le procede se poursuit a la case K&. Sinon, il passe a la case K11. 

- case KB: enregistrement dans la memoire vive du message signe Ms passe dans le champs donnees 
de rinstruction. et de la cie publique "e" a utiliser qui est lue dans le fichier des cies importees de la 
memoire EEPROM 5. 

40 - case K9: caicul du message Mo'- (Ms)^ Mod(n) 

- case K10: verification de la structure du message obtenu Mo* (case K101) en comparant ses 64 
elements binaires de poids fort au motif predefini qui est enregistre dans la memoire EEPROM 5. Au 
cas oil il n'y a pas correspondance entre les deux, une indication de resultat negatif est emise vers 
Texterieur h la case K103 (son format est identique a celui du message d'erreur de la case K5). Et au 

45 cas ou il y a correspondance, le message Mo' est enregistre dans la memoire vive 3. et une 

indication de rdsuttat positif est emise vers Texterieur a la case K102 (il s'agit egalement d'un 
message de reponse tel que defini dans les documents precites. dont le champ "statu! " code sur 2 
octets indique qu'il n'y a pas d'erreur. et dont le champ "donnees" contient, si necessaire le message 
authentifie). Puis le procede reprend a la case K1. 

50 - case K11: test permettant de determiner s'il s'agit d'une instruction de verification de signature. 
Dans ce cas ie precede continue a la case K12; sinon il passe a la case K13. 

- case K12: comparaison du message en clair. regu dans le champs de donnees de rinstruction, avec 
le message Mo* enregistre dans la memoire vive 3 (case K121). S'ils sont identiques, une indication 
de resultat positif est emise vers I'exterieur (case K122). Sinon. c'est une indication.de resultat negatif 

55 qui est emise (case K123). Puis. Ie precede reprend a la case K1. 

- case K13: traitement d'autres types d'instructions qui ne font pas partie du cadre de la presente 
invention et qui ne sont done pas decrites ici. Puis retour a la case K1 . 
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Ce premier mode de realisation, qui a Tavantage d'etre tres simple, s*applique au cas ou ridentit§ du 
correspondant est connue. 11 est done particulierement bien adapts pour certaines applications dent 
Tutilisation finale est tres bien determtnee. 

Dans un second mode de realisation du dispositif selon Tinvention, una fonction de condensation est 
5 appliquee h tout message avant de le signer. De telles fonctions sont decrites dans rarticle du 15 mars 
1988 intitule "Comment utiliser les fonctions de condensation dans la protection des donn^es* publie dans 
le cadre du colloque SECURICOM tenu a Paris en 1988. Une propriete essentielle d'une telle fonction est 
que, dans la pratique, elle n'est pas inversible. et quMI est impossible de trouver un autre message qui 
donne le meme r^sultat. 

10 La figure 4 donne un organigramme d*un proced^ de fonctlonnement du dispositif selon i'invention dans 
ce second mode de realisation, les instructions correspondantes etant contenues dans la memoire morte 4 
du micro-contrdleur 1 . 

La signification des differents blocs de cet organigramme est donn^e ci-dessous. , 

- case K21: le microprocesseur 2 attend qu'une demande arrive sur le port I/O du micro-contrSleur 1. 
lb Le precede passe ensuite immediatement a la case K22. 

- case K22: test permettant de determiner s'il s'agit d'une instruction de chargement de cl§ 
publique. Si c'est le cas. ie procede se poursuit a la case K23. Sinon, il passe a la case K24. 

- case K23: la cle publique pass^e dans le champs donnee de Tinstruction est enregistrie dans le 
fichier des cles importees de la memoire EEPROM 5. Puis le procede reprend a la case K21 . 

20 - case K24: test permettant de determiner s'il s*aglt d*une Instruction de signature. Dans ce cas le 
procede continue a la case K25; sinon, il passe a la case K28. 

- case K25: application de la fonction de condensation H au message Mo a signer qui a ete passe en 
parametre de Tinstruction. 

- case K26: le message H(Mo) ainsi obtenu est condense. Or le systeme RSA traite, dans cet exemple, 
25 des messages d*une longueur fixe de 512 elements binaires. II est done necessaire completer le 

message H(Mo), par ajout d*un motif Z predefint par exemple (qui est enregistre dans la memoire 
EEPROM 5), de fagon a le ramener a une longueur de 512 §l6ments binaires. Soit {M* = H(Mo)[|Z} le 
message ainsi obtenu (ou le signe D indique Tope ration de concatenation). 

- case K27: calcul de la signature Ms = (M')"* Mod(n), et emission vers Texterieur de ce message signe 
30 Ms. Puis le proc^§ reprend a la case K1 . ^ 

- case K28: test permettant de determiner s'il s'agit d'une instruction d'authentification de signatu- 
re. Si c'est le cas. le precede se poursuit a la case K29. Sinon. il passe a la case K32. 

- case K29: enregistrement dans la memoire vive du message signe Ms passe dans le champs 
donnees de Tinstruction, et de la c\6 publique "e" h utiliser qui est lue dans le fichier des cl§s 

35 importees de la memoire EEPROM 5. 

- case K30: calcul du message M" = (Ms)* Mod(n) 

- case K31: verification de la structure du message obtenu (case K311): il doit avoir la forme XOZ ou Z 
est le motif predefini qui est enregistre dans la memoire EEPROM 5. Si ce n'est pas le cas. une 
indication de resultat n^gatif est 6mise vers Texterieur (case K313). Sinon, le message X est 

40 enregistre dans la memoire vive 3, et une ir>dication de resultat positif est emise vers Texterieur (case 

K312). Puis le procede reprerid a la case K1. Cette authentification est un premier contrdle qui 
penmet de s'assurer que le message Ms passe en parametre est effectivement un message signe par 
la c\6 secrete correspondant h la cle publique "e". 
' case K32: test permettant de determiner s'il s'agit d'une instruction de verification de signature. 

45 Dans ce cas le procede continue a la case K33; sinon il passe a la case K34. 

- case K33: comparaison du message en clair regu dans le champs de donnees de Tinstruction. auquel 
est pr^atablement appliquee la fonction de condensation H. avec le message X enregistre dans la 
memoire vive 3 (case K331). S'ils sont identiques. une indication de risultat positif est 6mise vers 
Texterieur (case K332). Sinon. c'est une indication de resultat negatif qui est ^mise (case K333). Puis. 

50 le procede reprend a la case K1 . 

- case K34: traitement d'autres types d'instructions qui ne font pas partie du cadre de la pr^sente 
invention et qui ne sont done pas d6crltes ici. Puis retour a la case K1 . 

Bien que le premier mode de realisation apporte entiere satisfaction, il est parfois necessaire de 
disposer d'une protection accrue, line telle protection accrue est obtenue dans ce second mode de 
55 realisation, plus sur du point de vue de la signature puisqu'il met en oeuvre une fonction de condensation. II 
apporte de plus I'avantage supplementaire de permettre d'utiliser le concept de certificat de cle publique 
(defini dans la recommandation X509 du CCITT), pour verifier Torigine de la cle publique a utiliser pour 
authentifier un message signe. 
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En effet. tout utilisateur A muni d'un dispositif selon I'invention dispose, enregistr^ dans sa memoire 
EEPROM. d*un certificat de cle publique Ca. signe par Tautorite AS du systeme, et de parametres publics 
PPa definis de la fagon suivante: 

5 = [H(PPJ1''^ Mod(nj^) 

avec PPa = IdABeAflVaUHnAD... 
oO 

10 - PPa sont les parametres publiques de Tutilisateur A, 

- H est la fonction de condensation. 

- IdA est un identifiant de Tutilisateur A, 

* VaU est la date de validity de la cl§ publique eA de Tutilisateur A. 

- tes points de suspension indiquent que d'autres parametres peuvent §ventuellement §tre pris en 
15 compte, 

- nA et Has sont les modulo de Tutilisateur A et de Tautorit^ AS, 

- et dAs est la cle secrete de Tautorite AS. 

Aihsi lorsque I'utilisateur A envote un message sign^ a Tutiiisateur il lui envoie ^galement ses 
parametres publiques PPa en clair et son certificat de cle publique Ca. L*utilisateur B est alors en mesure 
20 d'authentifier le certificat de cl^ publique Ca de I'utilisateur A en appliquant la procedure suivante: 

- il applique la fonction de condensation H aux parametres publiques PPa. 

- il calcule: 

25 T = C^^** Mod(n;^) 

ou Bas est la cle publique de Tautorite AS, disponible de fagon sure dans cheque dispositif. 

- puis il compare le message T obtenu a H(PPa). S'il y a egalite, la cle publique Ca de I'utilisateur A, et 
30 son modulo ha sont authentifl^s, et Tutilisateur B peut les utiliser pour authentifier un message sign^ 

tel que cela a ete d^crit pric^demment. 
Cette procedure d'authentification de la cle publique d'un utilisateur A par un utilisateur 8 consiste en 
fait a appliquer au certificat de cle publique Ca la fonction d'authentification de signature decrite ci-dessus, 
et aux parametres publiques PPa la fonction de verification de signature decrite ci-dessus. 
35 Ce second mode de realisation du dispositif selon Tinvention apporte done I'avantage suppl^mentaire 
de permettre de verifier I'authenticite des cles publiques des utilisateurs avant d'authentifier et de verifier 
les signatures. 

Dans un autre mode de realisation, la fonction de dechiffrement n'est autorisee que pour certains 
utilisateurs. Pour cela, II suffit d'associer k chaque cie secr§te un critere d*utilisation pour le dechiffrement 
40 limite h ces utilisateurs, et: 

- pour le premier mode de realisation, de rajouter h la case K10. avant de tester la structure du 
message obtenu, un test sur la valeur de ce critere d'utilisation, de telle sorte que la structure du 
message obtenu ne solt verifiee que si Toperation de dechiffrement est interdite. 

- pour le second mode de realisation, de mettre en place a la case K34 une instruction de 
45 dechiffrement, Texecution de cette instruction etant sutx)rdonr^e a un test sur la nature du critere 

d'utilisation de la cie secrete contenue dans le fichier cle secrete de la memoire EEPROM 5. 
La figure 5 represente un systeme d'echange de donnees comportant deux cartes ^ puce A et B munie 
chacune d'un dispositif selon Hnvention lA et IB. Les titulaires respectifs de ces deux cartes k puce 
communtquent par I'intermediaire d'un terminal CI. 
50 Les systemes de sante constituent un exemple d'application pratique d'un tel systeme: la carte 
personrielle du patient, constituee par la carte A. et celle du professionnel de sante qui traite le dossier du 
patient, qui est constituee par la carte B. echangent des informations par Tintermediaire du terminal CI, 
localise Chez le medecin. 

On donne en annexe un exemple de protocole d'echange entre ces trois elements, pour le second 
55 mode de realisation du dispositif selon Hnvention (II, 12, 13 et 14 sont des indications de resultat positif ou 
negatif emise par la carte B vers le terminal CI apres chaque operation realisee). 

II va de soi que des modifications peuvent etre apportees aux modes de realisation qui viennent d'etre 
decrrts, notamment par substitution de moyens techniques equivalents, sans que Ton sorte pour cela du 
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cadre de la presente invention. 



ANNEXE 



CARTE A 



TERMINAL CI 



CARTE B 



10 



signature No 



envoi N, 



sA 



demands C^^ PPy^ 
< 



20 



25 



35 



Authentificatioh C^ 
» > 

Indication II 

< 

Si II Verification PPy^ 
positive > 

Indication 12 
< 

Si 12 Authentification M^^ 
positive > 

Indication 13 
< 

Si 13 Verification M^^ 
positive > 

Indication 1*4 
^ 

FIN 



RevendicatKons 

50 1. Dispositif permettant de metlre en oeuvre, conformement a un systeme d'echange securise de 
donn^es du genre RSA, des foncttons de signature de messages et d'authentification de signature pour 
des messages sign6s, 

caracterise en ce qu'il comporte des moyens pour inhiber les fonctions de chiffrement et de 
dichtffrement de messages propres h tout systeme du genre RSA. 

55 

2. Dispositif salon la revendicalion 1, caracterise en ce qu*il comporte des moyens pour comparer chaque 
message (Mo) a signer a une structure predetenminee selon laquelle tout message doit etre construil, 
et pour interdire la signature d'un message ne repondant pas a la dite structure. 
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3. Dispositif selon la revendication 2. caracteris^ en ce qu'il comporte des moyens permettant, apr^s 
I'authentification de la signature d*un message signe (Ms), de comparer le message oblenu (Mo*) avec 
ia dite structure, et d*emettre une indication de resultat positif s'il y a correspondance entre les deux, et 
negatif sinon. 

5 

4. Dispositif selon la revendication 1 , caractirise en ce qu'il comporte des moyens pour appfiquer une 
tonction de condensation (H) a tout message (Mo) avant de le signer, puis pour emettre vers Texterieur 
le message condensd et signe (Ms) ainsi que le message en clair (Mo), si necessaire. 

w 5. Dispositif selon ia revendication 4, caract§ris6 en ce qu'il comporte des moyens permettant, apres 
Tauthentification de la signature d'un message cornJens^ et signe (Ms), de comparer le message 
condense obtenu (X) au message §mis en clair (Mo) auquel la dite tonction de condensation (H) a et6 
pr^alablement appliqu§e, et d'^mettre une indication de r§suttat positrf s'il y a correspondance entre les 
deux, et n4gatif sinon. 

15 

6. Dispositif selon la revendication 5. caracterise en ce les dits moyens sont utilises pour metlre en 
oeuvre le concept de certificat de cte publique (Ca) et de parametres publiques (PPa) afin autfientifier 
les cl^s publiques regues (eA, np). 

20 7. Dispositif selon I'une des revendications 1 a 6, caract^ris§ en ce qu'un critere d'utilisation est associe a 
chaque cle secrete pour penmettre d'autoriser la fonction de dechiffrement pour un nombre restreint 

d*uti!isateurs. 

8. Carte a microcircuit utilisant un systeme d'echange securise de donnees du genre RSA, caracterisee 
25 en ce qu'elle comporte un dispositif selon Tune des revendications l a 7. 
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